如何应对网络安全中的警报疲劳

责任编辑：cres 作者：Mirko Zorz |来源：企业网D1Net 2024-05-29 14:27:46 原创文章企业网D1Net

在采访中，Stamus Networks的CEO Ken Gramley讨论了网络安全和DevOps环境中警报疲劳的主要原因。警报疲劳是由于安全工具生成的大量事件数据、虚假警报的普遍存在以及缺乏明确的事件优先级和可操作的指导而导致的。

什么是网络安全和DevOps环境中警报疲劳的主要原因？

警报疲劳是由几个相关因素导致的。

首先，当今的安全工具生成了大量的事件数据，这使得安全从业人员难以区分背景噪音和严重威胁。

其次，许多系统容易产生虚假警报，这些警报要么是由无害活动触发，要么是由过于敏感的异常阈值触发的，这可能会使防御者失去敏感性，最终错过重要的攻击信号。

第三个导致警报疲劳的因素是缺乏明确的优先级，这些系统生成的警报往往没有机制来分流和优先处理事件，这可能导致瘫痪性的无所作为，因为从业人员不知道从哪里开始。

最后，当警报记录或日志没有包含足够的证据和响应指导时，防御者不确定下一步的可操作步骤，这种混乱浪费了宝贵的时间，并导致挫折和疲劳。

减少警报疲劳对企业来说是一个重大挑战，如何优化他们的安全技术堆栈来克服这一挑战？

这确实是一个挑战，我们看到一些企业不幸地选择记录所有警报，只有在更可信的系统检测到事件时才进行检查。虽然这种记录的警报数据通常包含对事件调查至关重要的大量证据，但这种“存储和忽略”的方法并不是理想的解决方案。

现代安全运营中心（SOC）的三个最重要的组成部分是网络检测和响应（NDR）系统、端点检测和响应（EDR）系统和中央分析引擎（通常是安全信息和事件管理（SIEM）系统），这些所谓的“SOC可视性三合一”中的每一个元素在减少警报疲劳方面都起着重要作用。

您的NDR和EDR系统必须具有识别各自领域内严重和紧迫威胁的可靠机制，且精度极高，即几乎没有误报，这增加了对工具集的信心，并可以为安全分析师提供一个调查的起点。此外，它们还应提供某种形式的自动事件分流或优先级处理，这可以突出SOC团队必须调查的下一级事件。

最后，NDR和EDR必须收集与给定安全事件相关的所有相关工件，并尽可能将它们关联和组织成事件时间线，以加快调查速度，使防御者能够在威胁造成任何损害之前将其消除。

NDR和EDR是向你的SIEM提供安全遥测数据的重要来源，因此这是减少警报疲劳的下一个层次。每个NDR和EDR发送到SIEM的事件记录或日志都应附加丰富的元数据，为SIEM分析引擎及其用户提供所有相关证据和相关信息，以通知事件响应工作。此外，这些详细的事件记录可以为SIEM本身的另一个层次的相关威胁检测提供数据。

企业如何使用上下文信息丰富警报并使其更具可操作性？

这是至关重要的。有几种类型的上下文可以在这里提供帮助。企业特定的信息——例如主机名和熟悉的网络名称——可以使识别受攻击的资产或用于传播恶意软件的资产变得更加容易。例如，如果没有将这些上下文包含在警报记录或日志中，分析师需要切换到不同的系统来查找这些信息。

另一种形式的上下文是相关的元数据和工件，这里指的是协议事务日志、文件附件，甚至是警报发生期间的完整数据包捕获（PCAP）。

这些附加信息已被证明可以帮助SOC人员更快地评估事件的严重性、来源和原因，使这些警报更具可操作性。

企业如何在透明度需求与暴露敏感信息的潜在风险之间取得平衡？

这个话题对我来说非常重要。在Stamus Networks，我们非常致力于极端透明度和数据主权——这两个因素都涉及到这个问题。尽管如此，在透明度和信息安全之间取得平衡对组织来说是一项艰难的工作。企业可以采用多种策略，以下是一些在成功的安全领导者实践中常见的策略：

首先，他们基于公认的安全框架（如NIST或ISO 27001）构建控制程序，这不仅创建了一个可辩护的程序，还确保他们在考虑大局时不会忽略重要的控制措施。

其次，他们非常重视对系统和网络进行广泛的安全监控，这使他们能够在攻击链的早期发现严重威胁和未经授权的活动。

此外，这些企业还制定了明确透明的沟通计划，概述了哪些信息可以共享，哪些不能共享，这建立了信任，并避免了组织内部和与利益相关者之间的混乱。

最后，这些企业特别关注数据的存储和处理位置，并实行我所称的“极端数据主权”，即对数据驻留和处理保持严格控制。

监管要求和行业标准在促进网络安全透明度和问责制方面扮演什么角色？

监管要求和行业标准通过推动泄露披露和实施强有力的网络安全控制，在促进透明度和问责制方面发挥重要作用。美国证券交易委员会（SEC）的8-K表格备案要求和欧盟的GDPR等法规要求向当局和某些情况下的受影响个人报告数据泄露，这迫使企业公开安全事件，促进公众意识并防止潜在的掩盖行为。